Discussion :

[crenaze]

Bonjour,

J'ai mis en place une authentification ldap qui marche sans probleme à l'exception de l'expiration des mots de passes.

Voici un des utilisateurs :
dn: uid=test,ou=Users,dc=xxxx
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: test
uid: test
uidNumber: 10022
gidNumber: 10003
userPassword:: xxxxx
shadowLastChange: 0
shadowMin: 2
shadowMax: 90
shadowWarning: 7
shadowInactive: -1
shadowExpire: -1
shadowFlag: 0
homeDirectory: /users/test
loginShell: /bin/bash
gecos: test
description: test

Ici je positionne shadowLastChange à 0 pour forcer l'état à expiré. Mais lorsque d'ouvrir une connexion ssh avec le user test, il se connecte sans tenir compte de l'expiration.

J'ai fait un test en mettant shadowExpire à 0, et là j'ai bien un message m'indiquant que mon compte est expiré.

Lorsque je modifie le mot de passe en utilisant passwd shadowLastChange est bien mis à jour. Il y a t'il qualque chose que j'aurai oublié?

Voici mon fichier pam.d/sshd
#%PAM-1.0
auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users
onerr=fail
auth sufficient pam_ldap.so
auth required pam_unix.so use_first_pass
auth required pam_tally.so no_magic_root
account sufficient /lib/security/pam_ldap.so
account required pam_unix.so
account required pam_tally.so reset no_magic_root per_user
password required pam_cracklib.so
password sufficient pam_unix.so shadow nullok use_authtok
password required pam_ldap.so use_first_pass
session sufficient pam_ldap.so
session required pam_unix.so

/etc/nsswitch.conf
passwd: files ldap
shadow: files ldap
group: files ldap

hosts: files dns

bootparams: files
ethers: files
netmasks: files
networks: files
protocols: files ldap
rpc: files
services: files ldap
netgroup: files ldap
publickey: files
automount: files ldap
aliases: files

/etc/ldap.conf
timelimit 120
bind_timelimit 120
idle_timelimit 3600

HOST xxx
BASE dc=xxx
ssl no
pam_password md5

nss_base_passwd ou=Users,dc=xxxx
nss_base_shadow ou=Users,dc=xxxx
nss_base_group ou=Groups,dc=xxx

Je ne comprend pas pourquoi shadowMax n'est pas pris en compte alors que shadowExpire l'est.

Quelqu'un aurrait il une réponse?

merci d'avance

[crenaze]

C'était un pb d'acces aux attributs.
J'ai modifié la configuration du démon ldap (slapd.conf) et celà fonctionnent bien pour ssh maintenant.